Dengan lebih dari 90% serangan dunia maya yang berhasil membutuhkan interaksi manusia, orang-orang Anda kini menjadi pintu masuk nomor satu bagi penjahat dunia maya yang ingin merusak organisasi Anda. Dan, dalam banyak kasus, pelaku ancaman ini tidak masuk sama sekali. Mereka dibiarkan masuk melalui klik yang salah atau kata sandi yang digunakan kembali (terbuka di tab baru).
Tentang Penulis
Adenike Cosgrove adalah Wakil Presiden untuk strategi keamanan siber di Proofpoint (terbuka di tab baru).
Dengan kata lain, penjahat dunia maya secara konsisten, dan benar, memandang orang-orang Anda sebagai pintu gerbang ke data perusahaan yang sensitif (terbuka di tab baru) dan banyak lagi. Sebagai tanggapan, banyak organisasi telah menerapkan pelatihan kesadaran keamanan untuk membendung arus. Namun situasinya jauh dari sempurna, dengan hanya 28% yang saat ini menjalankan program pelatihan komprehensif lebih dari dua kali setahun.
Bahkan ketika pelatihan lebih teratur, organisasi di seluruh dunia menghadapi tenaga kerja yang tidak terlibat dan seringkali acuh tak acuh. Penelitian menunjukkan bahwa pengguna terus menunjukkan perilaku berisiko dan sering mengabaikan keamanan (terbuka di tab baru) praktik terbaik – 42% mengaku melakukan tindakan berbahaya seperti mengunduh malware (terbuka di tab baru)dan 56% mengizinkan teman dan keluarga untuk menggunakan perangkat yang dikeluarkan perusahaan.
Jelas, kesadaran saja tidak cukup untuk mengubah perilaku. Kita hanya perlu mempertimbangkan berapa banyak orang yang masih merokok meskipun ada peringatan yang jelas dan berulang-ulang sebagai buktinya.
Ya, meningkatkan kesadaran itu penting, tetapi ini hanyalah langkah pertama menuju keamanan siber (terbuka di tab baru) budaya di mana praktik terbaik menjadi standar — dan gagal tidak lagi ditoleransi oleh siapa pun. Satu-satunya cara untuk menciptakan budaya ini, dan menghentikan staf yang mengabaikan praktik terbaik, adalah dengan membuat pengguna terlibat di setiap langkah. Begini caranya.
Campurkan
Meskipun pengingat reguler itu bagus, jika Anda menyampaikan pesan yang sama berulang kali, ada bahaya bahwa staf akan keluar zona dan akhirnya tidak terlibat dengan proses tersebut.
Kami telah melihat bukti yang jelas tentang hal ini selama setahun terakhir, dengan penurunan kesadaran akan frasa kunci, terkadang secara signifikan. Dalam State of the Phish Report tahun ini, lebih dari setengah (53%) pengguna dapat mendefinisikan phishing dengan benar, turun dari 63% tahun sebelumnya. Pengakuan juga jatuh pada istilah umum seperti malware (turun 2%) dan smishing (turun 8%). Ransomware (terbuka di tab baru) adalah satu-satunya istilah yang mengalami peningkatan pemahaman, namun hanya 36% yang dapat mendefinisikan istilah tersebut dengan benar.
Ini menyoroti perlunya menjaga pelatihan kesadaran keamanan tetap segar. Pastikan untuk mengirimkannya ke sebanyak mungkin tempat dan format. Semakin beragam cara pesan keamanan siber Anda diperkuat, semakin besar kemungkinannya untuk dipertahankan.
Bercerita
Sebagian besar pengguna bukanlah pakar keamanan dunia maya, dan biasanya mereka juga tidak menginginkannya. Jadi, mereka tidak mungkin berhubungan dengan kata kunci, jargon, dan statistik kering. Sajikan proses keamanan dunia maya sebagai sebuah cerita. Lakukan langkah demi langkah untuk menunjukkan kepada pengguna bagaimana perilaku sederhana seperti jatuh untuk menutup program dengan benar, menggunakan perangkat yang tidak sah, atau mengeklik tautan berbahaya membuka pintu bagi penjahat dunia maya.
Ada banyak contoh dunia nyata untuk membantu Anda di sini. Dalam beberapa tahun terakhir, Anda dapat memilih insiden profil tinggi dari LinkedIn, Equifax, Cognizant, Twitter, dan banyak lagi. Anda juga bisa melangkah lebih jauh, menyesuaikan cerita ini dengan peran pekerjaan, departemen, dan kebiasaan buruk untuk merencanakan jalur yang jelas antara tindakan hari ini dan konsekuensi di masa mendatang. Semakin personal pengiriman Anda, semakin banyak pengguna yang dapat terhubung – dan semakin cepat perubahan perilaku.
Sesuaikan dan adaptasi
Lanskap ancaman terus berkembang. Program pelatihan Anda harus melakukan hal yang sama. Pelatihan harus relevan dengan ancaman yang dihadapi organisasi Anda saat ini.
Itu harus mendidik pengguna tentang motif dan metode serangan umum dan di mana mereka kemungkinan besar akan menghadapinya. Yang paling penting, pengguna harus memahami bagaimana mereka dapat dimanipulasi menjadi suatu tindakan – dan konsekuensi potensial dari mengambil umpan.
Lakukan penelitian terhadap orang-orang yang paling banyak diserang di organisasi Anda dan jenis serangan yang mereka hadapi sehingga Anda dapat memberikan pelatihan dalam konteks keseharian mereka. Dengan informasi ini, Anda dapat memberikan simulasi berdasarkan contoh dunia nyata untuk membantu pengguna mempelajari cara menerapkan pelatihan mereka pada saat yang paling penting.
Jadikan itu menyenangkan… serius
Pelatihan keamanan dunia maya mungkin tidak terdengar menyenangkan bagi kebanyakan orang, tetapi ada banyak cara untuk membuatnya tetap positif dan bahkan menyenangkan. Berikan pelatihan dalam model pendek yang tajam, dan jangan takut untuk menggunakan pendekatan yang berbeda seperti animasi atau humor jika cocok dengan budaya perusahaan Anda.
Membuat pelatihan keamanan kompetitif dan mengubahnya menjadi permainan juga dapat membantu prosesnya. Gamifikasi modul pelatihan telah terbukti meningkatkan keterlibatan dan motivasi, serta meningkatkan skor pencapaian dalam pengujian.
Untuk dampak maksimal, pelatihan dan pendidikan seharusnya tidak terasa seperti tugas. Semakin menyenangkan pengalaman yang Anda buat, semakin sedikit resistensi orang-orang Anda untuk mengambil bagian – mengubah ketidakpedulian keamanan menjadi tindakan keamanan.
Buat keamanan siber setiap hari
Mungkin ada saat ketika keamanan siber sehari-hari ditangani oleh tim dan administrator TI. Tapi waktu itu sudah lama berlalu. Saat kami terus mengirim, menerima, dan memproses banyak data setiap hari, baik dalam pekerjaan maupun kehidupan pribadi, keamanan siber ada di sekitar kita. Praktik terbaik keamanan siber juga harus ada di sekitar kita. Dan dengan pelatihan keamanan yang disesuaikan, menarik, dan berkelanjutan, itu akan segera terjadi.
Kami telah menampilkan VPN bisnis terbaik (terbuka di tab baru).